home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / hoobie / rpc.mountd_bug.txt < prev    next >
Encoding:
Text File  |  2001-11-06  |  2.1 KB  |  64 lines
  1.  
  2. Recently I noticed that one can discover what files any machine contains
  3. so long as rpc.mountd on that machine has permissions to read it.
  4. rpc.mountd usually runs as root, so this is pottentially a severe
  5. vulnerability.
  6.  
  7. Here's what happens.  If I try to mount /etc/foobar on my Linux box (this
  8. has been tested with Ultrix also), and /etc/foobar does not exist, I get
  9. this error:
  10.  
  11. slartibartfast:~# mount slarti:/etc/foobar /mnt
  12. mount: slarti:/etc/foobar failed, reason given by server: No such file or
  13. directory
  14. slartibartfast:~#
  15.  
  16. If the file does exist, and I don't have permission to read it, I get this
  17. error:
  18.  
  19. slartibartfast:~# mount slarti:/etc/passwd /mnt
  20. mount: slarti:/etc/passwd failed, reason given by server: Permission denied
  21. slartibartfast:~#
  22.  
  23. Thus, by process of elemination, one can discover what software packages
  24. are installed (shadow, etc), in many cases what versions (such as
  25. sperl5.001), and thereby discover many security vulnerabilities without
  26. ever having logged on to the machine, and often only generating the log
  27. message:
  28.  
  29. Aug 24 06:57:30 slartibartfast mountd[7220]: Access by unknown NFS client
  30. 10.9.8.2.
  31.  
  32. which doesn't emphasize the seriousnous of this attack.
  33.  
  34. It has been confirmed that this hole is present on at least
  35. some distributions/versions of Linux, Ultrix, NetBSD, OpenBSD, SunOS,
  36. Solaris, and probably many many more.
  37.  
  38.  
  39. --------------------------------------------------------------------------
  40.  
  41.  
  42. This was solved well before 2.1 OPENBSD shipped.  The problem did exist in
  43. 2.0, but that's about a year old now, and has been replaced with 2.1.
  44.  
  45. Here's the log entry:
  46.  
  47. ----
  48. symbolic names:
  49.         OPENBSD_2_1: 1.16.0.2
  50.         OPENBSD_2_0: 1.11.0.2
  51.         ...
  52. revision 1.12
  53. date: 1996/12/05 23:14:27;  author: millert;  state: Exp;  lines: +14 -9
  54. Stop info gathering attack pointed out by Alan Cox-
  55. Only return ENOENT if the dir trying to be mounted is really exported
  56. to the client.  Return EACCESS if not exported.
  57. ----
  58.  
  59. --------------------------------------------------------------------------
  60.  
  61. This works with AIX 3.2.5 and 4.1.4 too.
  62.  
  63. -------------------------------------------------------------------------
  64.